ИБ-специалист компании The Antisocial Engineer Ричард де Вер (Richard De Vere) обнаружил опасный баг в Twitter: зная номер телефона, можно писать сообщения (в том числе личные) от лица чужой учетной записи.
Исследователь рассказал о проблеме журналистам издания Computer Weekly, и так как баг пока не был исправлен, технических подробностей об уязвимости де Вер раскрыл немного.
По словам специалиста, эксплуатация уязвимости не требует каких-то глубоких познаний или сложных манипуляций. Главное – узнать номер телефона, привязанный к аккаунту жертвы. После этого атакующий получает возможность публиковать записи (текст, фото или видео) и рассылать личные сообщения от лица чужой учетной записи. Де Вер утверждает, что потенциальный злоумышленник даже может отключить двухфакторную аутентификацию, если это потребуется.
Дабы не быть голословным, эксперт продемонстрировал журналистам эксплуатацию бага на примере Twitter-аккаунта самого Computer Weekly. С разрешения редакции де Вер за считанные минуты разместил PoC-пост от лица издания, который можно увидеть на скриншоте ниже.
Специалист сообщил, что уже создал багрепорт на HackerOne, однако подчеркнул, что вовсе не стремится получить вознаграждение, просто это оказался единственный способ уведомить разработчиков Twitter о проблеме.
Де Вер полагает, что обнаруженной им уязвимостью уже могут пользоваться хакеры. К примеру, по его мнению, возможно, именно таким образом злоумышленники компрометируют верифицированные учетные записи известных людей и крупных компаний в Twitter, чтобы потом использовать полученный доступ для криптовалютного скама от лица знаменитостей.
